一、政策形势
1、安徽省印发《深化公共数据资源开发利用若干举措》
近日,中共安徽省委办公厅、安徽省人民政府办公厅印发了《深化公共数据资源开发利用若干举措》(以下简称《举措》),《举措》包括五大方面内容,共计十五条。
(一)推动公共数据供给提质增效,夯实数据要素发展基础(二)规范公共数据资源授权运营,激发数据要素发展动能(三)强化数据赋能场景创新,释放数据要素发展活力(四)加强基础设施建设和安全管理,筑牢数据要素发展支撑(五)加强组织保障。其中第五条要求:打造统建共用的可信数据环境。完善省公共数据运营平台,打造安全可信数据环境,为各级公共数据资源授权运营提供一站式服务。指导监督运营机构履行数据安全主体责任,采取必要安全措施,保护公共数据安全,通过安全合法合规方式开发数据产品和服务,实现“原始数据不出域、数据可用不可见”。探索公共数据产品和服务场内交易模式。第十五条要求:提高数据安全管理能力。建立健全分类分级、风险评估、监测预警、应急处置等工作体系,开展公共数据利用的安全风险评估和应用业务规范性审查,提升数据汇聚关联风险识别和管控水平,维护公共数据安全。依法依规予以保密的公共数据不予开放,严格管控未依法依规公开的原始公共数据直接进入市场。
https://www.digitalelite.cn/h-nd-9352.html
2、英国《数据(使用与访问)法案》分阶段生效
2025年7月25日,英国政府公布了《数据(使用与访问)法》(以下简称《数据法》)生效的四个关键阶段。《数据法》于2025年6月19日获得批准。具体阶段如下:
第一阶段(2025年8月20日):2025年8月20日,以下条款将生效:阐明法律框架各方面的技术条款;信息专员办公室(ICO)的新法定目标;以及要求英国政府发布关于版权作品和人工智能的影响评估、报告和最新进展的条款。
第二阶段(批准后3至4个月):与数字验证服务相关的规定以及互联网服务提供商在儿童死亡后保留信息的措施,将在批准后3至4个月生效。
第三阶段(批准后6个月):在《数据保护、公平和可及性法案》(DUAA)第5部分中引入的英国数据保护立法的主要变更,以及关于英格兰健康和成人社会护理信息标准的条款,将在批准后约6个月生效。
第四阶段(2026年初):预计将有规定要求采取额外执法措施,如开发新技术或任命新员工,这些规定将于2026年初生效。这些规定包括关于重组ICO(保险公司信息和合规办公室)、出生和死亡电子登记系统以及与国家地下登记册相关的措施。
http://news.10jqka.com.cn/20250731/c670052603.shtml
二、数据安全事件
1、诺基亚被入侵,近10万员工信息泄露
8月初,一则令通信界震惊的消息传来:网络犯罪组织"Tsar0Byte"声称成功入侵诺基亚内部网络,导致超过9.4万名员工的敏感信息遭到泄露。
这起事件不仅规模空前,更值得关注的是,这已经是诺基亚在不到一年时间内第二次因第三方供应商安全漏洞而遭受重大网络攻击。
此次数据泄露的规模和深度都令人担忧。根据目前披露的信息,被窃取的数据不仅包括员工的基本信息如全名、工号、公司邮箱和电话号码,还涉及更为敏感的内容:员工的部门归属、具体职位、LinkedIn个人档案链接,甚至包括公司组织架构、内部文档以及合作方日志等核心资料。
据安全研究人员分析,"Tsar0Byte"组织并未选择直接攻击诺基亚的核心系统,而是采用了更为狡猾的"迂回战术"。攻击者首先将目标锁定在与诺基亚有业务往来的第三方开发工具供应商,利用该供应商网络中存在的安全漏洞,成功突破了其与诺基亚内部网络之间的连接防线。
这种攻击方式的巧妙之处在于避开了诺基亚自身相对完善的安全防护体系,转而寻找整个生态链中最薄弱的环节。正如网络安全专家经常强调的那样,攻击者总是会寻找阻力最小的路径,而第三方供应商往往就是这样的突破口。
这次只是诺基亚的内部系统,而通信行业的核心,更多是网络设备,如果通信网络设备被渗透,才会是真正的“灾难”,这也是我们通信网络设备采用与普通互联网网络物理隔绝的必要之处。
https://mp.weixin.qq.com/s/a62Q3_gybAtoaW19QDAF2w
2、世界币虹膜数据收集遭国安部警告
8月6日,中国国家安全部点名“世界币”(Worldcoin),指控其以发行加密货币为名非法收集全球用户虹膜数据,威胁个人隐私及国家安全。虹膜数据具唯一性,一旦泄露可能被用于身份盗窃或间谍活动。此举与《数据安全法》要求的生物识别数据本地化存储直接冲突。
世界币由包括OpenAI首席执行官萨姆·奥特曼(Sam Altman)在内的知名人士联合创立,其通过虹膜扫描技术生成数字身份并发放加密货币代币的行为。
值得关注的是,中国近期推出的集中式互联网身份识别系统,进一步强调数字身份的规范化和数据本地化管理。世界币的虹膜数据收集行为,与中国严格的数据主权政策存在明显冲突。
国家安全部的警告反映了中国对外国实体跨境数据传输的持续关注,也凸显了生物特征数据在全球数字经济中的敏感性。虽然声明未披露世界币的最新进展,但此事件可能促使中国进一步收紧对生物特征数据收集的监管。
https://www.jinse.cn/news/blockchain/3718676.html
3、医疗APP违规收集个人信息被通报
工信部8月4日通报23款违规APP/SDK,其中江苏省中医院官方应用(OPPO商店)和中国医科大学附属盛京医院“掌上盛京医院”(应用宝)因违规收集个人信息被勒令整改。这是2025年第4批通报,延续对民生领域APP的高压监管。
https://www.jntimes.cn/fwrx/202508/t20250806_8510967.shtml
4、未经授权收集和传输用户数据,美国BJC医疗保健中心赔偿超6600万元
2025年7月,美国BJC医疗保健中心因未经授权收集和传输用户数据而被起诉,最终同意支付高达925万美元(约合人民币6635万元)达成和解。这一事件凸显了医疗机构在数据隐私保护方面的法律责任和风险,值得所有医疗机构引以为鉴。
原告声称,在收集网络用户数据(包括个人身份信息)的网站上添加了跟踪工具,并在网络用户不知情或未经授权的情况下将敏感信息传输给Facebook(Meta)、Google、SiteScout、Invoca和TradeDesk等公司。
根据美国相关法律,医疗机构在处理患者个人信息时必须遵循严格的隐私保护标准。HIPAA(全称为《健康保险可携性和责任法案》)明确规定,提高健康保险的便携性、减少医疗保健欺诈和滥用,同时保护患者的隐私和健康信息的安全。医疗机构及其工作人员有义务保护患者的隐私和个人敏感信息的安全。
国内《个人信息保护法》对敏感个人信息的特殊保护要求包括:
l 需单独同意,充分告知必要性及影响;
l 收集范围最小化;
l 存储时加密、严格控制访问权限并定期审计;
l 使用时限定目的、定期评估并保障信息主体权利;
l 共享时明确告知、单独同意且合同约束;
l 跨境传输需安全评估、确保接收方保护能力并获信息主体同意;
l 违反将面临行政处罚、民事赔偿甚至刑事责任。
https://mp.weixin.qq.com/s/PPrUu8U-I-X8Ng189mKnww
5、国安部揭露三类网络攻击窃密手法
7日,国家安全部微信公众号发布三起典型案例,提醒每个公民都应自觉提高警惕,多一分留心。
(1)《反馈意见》竟是“钓鱼”邮件
党政机关、高校、科研院所等单位有时因工作需要,设有向全社会公开的工作邮箱,而这类邮箱也被境外间谍情报机关视为攻击目标。
某单位在正式发布一项公告前,按规定公开邮箱并向社会征集意见。随后,邮箱内陆续收到了意见建议。一日,工作人员照常打开了一份标题为《XX事项的反馈意见》的邮件,但电脑界面异乎寻常地自动跳转至“某邮箱超大附件下载”界面。这时,该工作人员没有足够的警惕,直接点击下载并解压。殊不知,邮箱的账户信息和相关内容因此泄露。
经查,该邮件实为境外间谍情报机关的“钓鱼”邮件。此类攻击性邮件通常伪装成日常事务性邮件,诱使目标用户点击恶意链接或下载恶意文件,窃取用户凭证和数据资料等敏感信息,有的甚至可能入侵并控制相关终端设备。
(2)遥控商铺摄像头监视港口
李某在海边开了家小商铺,为保障商铺安全,在商铺门口安装了具有旋转监控功能的智能网络摄像头。
一段时间后,李某发现异常,每到午休或夜间时,摄像头总会自动旋转,面向商铺外远处的港口方向。李某认为可能是受到了网络攻击,被用来监视远处的港口,于是拨打12339向国家安全机关举报。
经查,该摄像头存在定期访问境外网址并传输数据的情况。由于该设备使用的是出厂默认弱口令密码,且长期未进行软件更新,被境外黑客攻击,导致监控系统控制权限被攻击者获取。
国家安全机关干警指导相关人员修改密码、设置软件自动更新、调整摄像头安装位置,有效防止了后续危害。
(3)警惕工作群组里的“病毒”
某涉密企事业单位技术人员小王,为方便技术交流,在社交平台上加入了某网络技术工作讨论群组。
为避免遗漏群组内分享的技术资料,小王在工作电脑同步登录了自己的个人账户,并设置了文件自动下载功能。随后不久,在一次例行保密检查中,国家安全机关发现小王的电脑已经感染了病毒,自动下载了群内分享的木马软件,并定期主动访问境外网址。
工作发现,境外间谍情报机关常利用此类渠道投放病毒,向我国境内重点人员实施攻击窃密活动,需引起高度警惕。
警惕!网络安全“三个要”
国家安全机关提醒:不轻易点击不明链接或打开可疑附件,学会甄别虚假信息;不轻易在陌生网址输入账户密码、个人信息、敏感内容;不在非涉密工作电脑上传输、处理、发布涉密内容。若遭遇钓鱼攻击,应及时断开网络、查杀病毒、重置密码。
https://mp.weixin.qq.com/s/uBP4CamEU7DTi-AREtZ-nQ
三、技术、产品与市场
1、ISC.AI 2025第十三届互联网安全大会在京开幕
8月6日,由中国互联网协会、中国人工智能学会、中国软件行业协会、中国通信企业协会、东方企业创新发展中心、360互联网安全中心、ISC.AI大会组委会主办的第十三届互联网安全大会(ISC.AI 2025)在北京国家会议中心开幕。大会以“ALL IN AGENT”为主题,加速推动智能体技术的颠覆性创新、产业深度融合与生态体系繁荣,共话智能化时代新生态。
智能体作为本次ISC.AI 2025的核心议题,在本届大会上实现了深度应用与创新实践。本次ISC.AI 2025大会由全球首个L4级别的智能体系统“纳米AI”深度赋能,大会开场show由纳米AI智能体蜂群支持,溯源民族精神血脉,全景展现从顶层战略到产业腾飞与科技突破的跃升,演绎大国崛起史诗。
8月7日,在系列主题论坛创新独角兽沙盒大赛中,数达安全(北京)科技有限公司凭借“数据库透明加密系统”的技术先进性、广泛的应用以及创新性获得本赛事的“卓越团队奖”!“数据库透明加密系统”具有如下特性:
创新性:
系统基于驱动的加密及访问控制,与国际最先进的IBM的路线一致。IBM采用文件驱动加密,对进程和OS账号进行了访问控制。系统额外采用了网络驱动模块,进一步实现了对DB账号的访问控制;并采用异步加密技术,性能方面远优于IBM系统。
先进性:
(1)高透明性:“应用0改造接入”;
(2)高性能:性能影响低于5%;
(3)降权管理:实现了对特权账号的降权;
(4)高兼容:几乎兼容所有的数据库和OS类型。
2、Palo Alto Networks 以 250 亿美元收购 CyberArk
网络安全巨头 Palo Alto Networks(派拓网络,纳斯达克代码:PANW)宣布,将以约250亿美元收购身份安全领域领导者CyberArk(纳斯达克代码:CYBR)。
此项交易不仅是 Palo Alto 历史上最大的一笔收购,也标志其正式进军身份安全(Identity Security)领域——这对其推进统一安全平台战略具有关键意义。
通过整合 CyberArk 的身份安全平台与 Palo Alto 现有产品组合,该公司计划构建一体化解决方案,消除安全盲区、简化安全运维,并进一步推进其“平台化安全”战略。
此次收购预计将在 Palo Alto Networks 2026财年下半年完成,尚需通过监管审批与股东投票程序。
https://mp.weixin.qq.com/s/vwApcuDMi8OXVI_6IBOe_Q